Zabezpečení a ochrana dat 1

Transkript

1 Zabezpečení a ochrana dat 1. Bezpečný počítač Bezpečný počítač pro pr{ci je takový počítač, který neobsahuje ž{dný než{doucí software a který není napadnutelný z Internetu. Č{st bezpečnosti zajišťují technick{ opatření, značný podíl mají také naše znalosti a naše opatrnost. - Aktualizace operačního systému a aplikačních programů Dnešní operační systémy a aplikační programy jsou nesmírně složité, dlouho byly zaměřeny spíše na množství funkcí než na bezpečnost a výsledkem je stav, kdy jsou nové bezpečnostní chyby (díry) v systému (nebo v jiných aplikacích typicky v prohlížeči webu) objevov{ny snad každý týden. Znamen{ to, že skript ve webové str{nce m{ vinou bezpečnostní chyby v prohlížeči webu přístup k souborům ve vašem počítači (a může je někam poslat nebo je smazat), vir přiložený ke zpr{vě se s{m spustí (bez otevření přílohy), při prohlížení obr{zku se může spustit program z Internetu, červ se může dostat do vašeho počítače a díky chybě (tzv. přetečení z{sobníku paměti) se dostane do systémové paměti a může si dělat, co chce. (Automatické) aktualizace systému Jakmile je bezpečnostní chyba pops{na, chvilku trv{, než se objeví vir, který ji umí využít. Výrobce operačního systému většinou mnohem dříve vyd{ (vystaví na Internetu) opravu (z{platu, tzv. patch), kter{ chybu odstraňuje. Systém na našem počítači, ale chybu st{le obsahuje, musíme do něho z{platu aplikovat aktualizovat systém. Pokud to uděl{me včas, případný škodlivý kód se již do počítače touto chybou nedostane. Naštěstí však není potřeba hlídat si nové aktualizace systému (Windows i Linux), stačí spr{vně nastavit (zapnout, povolit) automatické aktualizace. Pokud je počítač připojen k Internetu pevnou linkou (tj. nepřetržitě), stahuje si operační systém s{m potřebné aktualizace a pouze upozorňuje uživatele na jejich instalaci. Totéž platí o většině aplikací, ty také často kontrolují, zda není k dispozici jejich nov{ verze nebo bezpečnostní z{plata. - Firewall a další bezpečnostní n{stroje Porty br{ny do počítače, hackeři, firewall. Každý počítač připojený k Internetu m{ svoji jednoznačnou IP adresu. Jednotlivé služby (web, pošta, sdílení souborů) pak využívají jednotlivé porty, jakési br{ny do počítače. Např. web použív{ port 80, pošta odch{zí většinou přes port 25 a přich{zí přes port 110 apod. Portů je teoreticky a přes všechny by se do počítače mohly dostat počítačové červy. Využívají je také lidé, snažící se o neopr{vněný přístup do cizích systémů (hackeři). Program, který hlíd{, co se na Zabezpečení a ochrana dat 1

2 jednotlivých portech děje, a povoluje jen n{mi vyž{danou komunikaci, se nazýv{ firewall ( pož{rní zeď, oddělující počítač od Internetu). Osobní firewall je dnes většinou souč{stí OS, kontroluje síťovou komunikaci z/do počítače. Síťový firewall sleduje komunikaci mezi vnitřní (lok{lní) sítí LAN a vnější sítí WAN (Internetem). Býv{ souč{stí směrovače (routeru). Další n{stroje bývají dod{v{ny jako souč{st kompletních (většinou komerčních) bezpečnostních balíků. Ty zahrnují kontrolu odkazů na webové str{nky, proto se na nebezpečný web vůbec nedostaneme, kontrolu obsahu již navštívené webové str{nky, zvýšené zabezpečení osobních údajů a další n{stroje. - Počítačové viry a červy, malware a spyware Počítačový vir nebo červ je program, který někdo vytvořil, aby získal důvěrn{ data z vašeho počítače, získal kontrolu nad vaším počítačem nebo alespoň mohl využívat jeho zdroje, případně aby zničil vaši pr{ci. Proč to lidé dělají? V současnosti není nejčastějším důvodem psychické narušení tvůrce (potřeba něco si dok{zat), jako tomu bylo dříve, ale snaha okr{st majitele počítače o data, hesla, počítačové zdroje, tedy v konečném důsledku o peníze. Virus je malý program, který se umí vložit do jiného programu a s ním se šířit. Spuštěním programu tedy spustíte nevědomky i virus, který napadne další programy. Makrovirus je virus, který není souč{stí programu, ale dokumentu, který může obsahovat makra, tj. vlastně v dokumentu vložené programové kódy (dnes mnoho typů dokumentů). Červ m{ vlastní soubor a většinou se snaží přimět uživatele počítače, aby ho spustil, případně využív{ bezpečnostní chybu (poštovního programu, prohlížeče webu apod.) a snaží se spustit s{m. Některé internetové červy využívají chyby v zabezpečení síťového připojení operačního systému a šíří se přímo v paketech síťového protokolu. Jsou velmi nebezpečné, protože je nezachytí antivirový program a protože nevyžadují k napadení počítače aktivitu uživatele (jen jeho pasivitu, tj. opomenutí instalace bezpečnostní z{platy). Rootkit je škodlivý kód, který běží v j{dru operačního systému s pr{vy administr{tora počítače. Špatně se detekuje a odstraňuje, protože je souč{stí j{dra OS, může se skrýt před běžným antivirovým programem. Malware je shrnující označení pro škodlivé kódy (spojení malicious z{keřný + software). Spyware jsou programy, které sledují činnost uživatele a před{vají o ní někomu zpr{vy, nebo prohled{vají obsah počítače a opět o něm někoho informují. Spyware (a adware) se často instalují spolu s nějakým programem nebo pomocí aktivního obsahu webových str{nek. Zabezpečení a ochrana dat 2

3 Adware také sleduje aktivity uživatele počítače na Internetu a cíleně mu zobrazuje reklamu, nemusí to být vždy škodlivý kód. Virus (červ), který přijde na v{š počítač, ihned nepozn{te. Nějakou dobu se jen šíří, infikuje další soubory v počítači, rozesíl{ se na všechny nebo pouze na vybrané ové adresy z vašeho adres{ře. Teprve po určité době, v určitý den, po určitém počtu spuštění apod. provede nějakou nepříjemnou činnost: Ovl{dnutí počítače. Program typu backdoor (zadní vr{tka) otevře některé porty počítače a naslouch{ na nich povelům zvenčí. Podobně pracuje trojský kůň, program, který kromě své zjevné činnosti vykon{v{ ještě nikde neuvedené akce bez souhlasu uživatele. Umožní tak získat útočníkovi přístup do počítače a pracovat s ním. Odcizení obsahu počítače. Vzd{lený útočník si může díky získanému přístupu kopírovat soubory z napadeného počítače, případně použít program typu keylogger ke sledov{ní stisknutých kl{ves (např. při vyplňov{ní políček ve formul{řích), nebo dataminder, program, který shromažďuje data o činnosti uživatele počítače. Využití počítače pro neleg{lní činnost. Mnoho z{sahů proti rozesilatelům spamu (nevyž{dané reklamní pošty) nebo serverům s neleg{lním obsahem (dětsk{ pornografie, rasistické a podobné str{nky) skončí tím, že policie zas{hne u překvapeného majitele počítače, který o jeho neleg{lní funkci neměl ani tušení. Vzd{lený útočník přeměnil nezabezpečený počítač v server rozesílající spam nebo poskytující zmíněné str{nky. Maz{ní obsahu počítače není dnes u škodlivých kódů obvyklé. Kromě uspokojení z poškození nezn{mého člověka totiž nepřin{ší ž{dný (finanční) efekt. - Metody útoků přes webové str{nky a elektronickou poštu Web, dnes nejpoužívanější služba Internetu, vytvořil svůj vlastní svět. Jako ve skutečném světě v něm působí lidé, kteří chtějí okr{st nebo ovl{dnout jiné lidi. 60 % škodlivých kódů se dnes šíří přes nakažené webové str{nky. Protože jsou autoři virů často technicky vzdělaní (nebo si najímají kvalifikované lidi), využívají širokou šk{lu technologií. Umístění zavirovaného souboru (programu) do jinak užitečného programu na web. Obvyklé na webech s neleg{lním obsahem (cracky, warez). Uživatel si st{hne program, spustí ho a tím si zaviruje počítač. Umístění zavirovaného souboru na zcela důvěryhodný web, který byl předtím napaden hackery a místo původních souborů na něm byly umístěny zavirované programy. Umístění skriptu (programu) do kódu webové str{nky. Pokud prohlížeč tento kód spustí, nahraje se do OS škodlivý kód. Prohlížeče však obsahují zabudované ochrany (zak{zané skripty, spuštění pouze na dotaz), takže jde většinou o využití bezpečnostní chyby v prohlížeči, kter{ nebyla z{platov{na. Rozšířeným útokem je nabídka falešné Zabezpečení a ochrana dat 3

4 antivirové kontroly počítače. Webov{ str{nka zobrazí upozornění na nalezení viru v počítači (fiktivní, emotivně zbarvené) a nabídne jeho odstranění, stačí pouze spustit nabízený antivir Uživatel odmítne všechna bezpečnostní varov{ní prohlížeče a vir spustí. Vytvoření zavirovaného doplňku (plug-inu) pro webový prohlížeč. Uživatel si s doplňkem nainstaluje i škodlivý kód. Využití podvržené str{nky. Uživatel je přesměrov{n na falešnou str{nku, napodobující origin{l (bankovní web apod.) kde vyplní své přihlašovací údaje a tím je poskytne útočníkům. Další rafinované způsoby propašov{ní viru do systému nebo získ{ní důležitých (osobních) údajů. St{le se vyvíjejí a je proto potřeba sledovat odborné weby ( Elektronick{ pošta fungovala v minulosti jako hlavní přenašeč virů. Dnes se jich šíří e- mailem méně než 10 % a toto číslo st{le kles{. Typickým způsobem je ov{ zpr{va s přílohou, ve které je umístěn vir. Při otevření přílohy dojde ke spuštění viru a nakažení počítače. Většina ových serverů m{ dnes integrov{n antivirový program. Zavirované zpr{vy jsou proto většinou odstraněny dříve, než si je st{hnete na svůj počítač. Proto útočníci používají zpr{vy s odkazy na zavirované webové str{nky. - Antivirový program Na antivirový program mnoho uživatelů počítače spoléh{ jako na nepřekonatelnou ochranu svého počítače. Není to bohužel pravda, největším nebezpečím pro počítač býv{ jeho uživatel. Antivir však nabízí hodně a měl by být proto na každém počítači. Antivir st{le běží v paměti počítače a kontroluje každý spouštěný program a každý otevíraný dokument. Je to nejdůležitější funkce, kter{ by měla zabr{nit spustění jakéhokoliv škodlivého kódu. Antivir na n{š pokyn otestuje počítač, přesněji zkontroluje, zda v paměti počítače neběží škodlivý kód a potom zkontroluje všechny (nebo určené) soubory v počítači. Jak funguje antivirový program: Porovn{v{ programy se svojí datab{zí škodlivých kódů. Podobně porovn{v{ adresy webů s černou listinou nebezpečných str{nek. Sleduje podezřelé aktivity jako je z{pis do systémových souborů a jiných programů, na webu obsah (javaskriptového) programu vloženého do str{nky. M{ tak šanci nalézt i dosud nezn{mý vir. Aktualizace antiviru je samozřejmě zcela nutn{, jinak by neznal nejnovější hrozby. Všechny antiviry se aktualizují samy, některé i několikr{t denně. Zatím méně rozšířen{ je Zabezpečení a ochrana dat 4

5 kontrola programů vůči antivirové datab{zi umístěné na Internetu, ta je samozřejmě neust{le zcela aktu{lní. Odvirov{ní nakaženého počítače není vždy jednoduché, mnoho virů (pokud již běží v paměti) se dok{že skrýt před antivirovým programem. Řešením je nabootovat (jiný) operační systém z Live CD nebo z USB disku. Vir pak již není aktivní a je možné ho skenov{ním disku najít a odstranit. Alternativou je vyjmutí disku z nakaženého počítače, jeho umístění v čistém stroji a odvirov{ní. - Problematika spamu a obrana proti němu Nevyž{dané, hromadně rozesílané zpr{vy (typicky s reklamou) se označují jako spam. Problematika spamu je v současnosti velmi z{važn{. Běžný uživatel u obdrží denně několik nevyž{daných zpr{v, které musí mazat. Mnoha lidem se již stalo, že omylem spolu se spamem smazali důležitou zpr{vu nebo že takovou zpr{vu zadržel antispamový filtr. Rozesíl{ní spamu je považov{no za neetické a dnes je postižitelné i podle z{kona. Šiřitelé spamu (tzv. spameři) získ{vají adresy pro spam mnoha způsoby: Pomocí specializovaných programů (robotů podobných indexačním programům vyhled{vacích serverů) proch{zejí webové str{nky, diskuzní fóra a konference a sbírají z nich adresy. Využívají viry, které odešlou celý adres{ř poštovního programu na určitou adresu. Kupují datab{ze adres od jiných spamerů. Generují n{hodné adresy podle seznamů jmen a rozšířených poštovních serverů. Obrana proti spamu Zabr{nit příjmu nevyž{dané pošty je obtížné, spíše nemožné. Br{nit se lze mnoha způsoby, ž{dný z nich však není stoprocentně účinný: Je potřeba být opatrný při zad{v{ní své ové adresy na různých webových serverech. Jednou z možností je mít dvě adresy (poštovní schr{nky), jednu používat pouze pro soukromé účely a druhou pr{vě pro různé registrace. Tu pak stačí jen občas zkontrolovat a promazat. Zatím m{me tu výhodu, že většina spamu je v angličtině, takže je podezřel{ zpr{va patrn{ na první pohled. Její rozlišení a maz{ní n{m proto trv{ kratší dobu než lidem v anglicky mluvících zemích. Vyspělé země přijímají z{kony, umožňující postih nevyž{daných reklamních sdělení. Spameři však často využívají servery ze zemí, ve kterých podobn{ legislativní ochrana neexistuje. Poskytovatelé Internetu blokují počítače, ze kterých odch{zí množství zpr{v (tzv. black list). Často na to ovšem doplatí nevinní lidé, protože spam server z jejich počítače vytvořil vir. Zabezpečení a ochrana dat 5

6 Poštovní program je nutné doplnit o antispamový filtr. Ten sleduje výskyt slov indikujících spam (sex, viagra, porno atd.) a přesunuje takové zpr{vy do zvl{štní složky. Navíc se většinou umí učit sleduje, jaké zpr{vy sami označíte za spam, a podobné zpr{vy pak přesunuje automaticky. Občas je ale nutné složku se spamem zkontrolovat, zda v ní omylem nejsou důležité zpr{vy. Tato poslední možnost je nejúčinnější Odpovědnost za obsah Internetu Internet (web) nem{ ž{dnou centr{lu, ž{dného spr{vce, proto také za jeho obsah (jako celek) nikdo neodpovíd{. Je vždy na uživateli, aby posoudil informační hodnotu předkl{daných informací a rozlišil pravdivé, nepřesné, neúplné, zav{dějící a úmyslně nepravdivé informace. Další komplikací je obtížnost aplikace z{konů na podnik{ní nebo zločinnou činnost pomocí Internetu. V běžném pr{vním ř{du platí, že k posouzení trestnosti se používají z{kony země, ve které ke zločinu došlo. Jak ale posoudit trestné činy, které postihly občany naší vlasti provedené občany jiné země s využitím počítačů (domén, adres) registrovaných ve třetí zemi? Co se týk{ obsahu, prosazuje se n{zor, že za obsah str{nek odpovíd{ jejich autor a nikoliv poskytovatel připojení a datového prostoru, který o neleg{lním obsahu nemusí vůbec vědět. Ovšem pokud je tento poskytovatel na neleg{lní str{nky upozorněn, je povinen je odstranit. - Podvody (tzv. techniky soci{lního inženýrství), hoaxy Naprost{ většina výše uvedených nebezpečných kódů vyžaduje součinnost uživatele počítače, zbytek jeho neopatrnost nebo nedbalost. Většina červů se nešíří díky svému geni{lnímu kódu, ale nesmírně jednoduše - uživatelé si je sami spustí a ještě potvrdí jejich instalaci. Většina finančních podvodů není provedena dokonalými špion{žními programy, ale tak, že útočník pož{d{ majitele počítače o heslo k jeho bankovnímu účtu a on mu ho pošle. Útoky tohoto typu, které využívají psychologii člověka, bývají označov{ny jako sociotechnické útoky. Odborníci na bezpečnost často konstatují, že největší bezpečnostní problém je mezi kl{vesnicí a židlí, tedy v člověku, který počítač obsluhuje. Útoky vedené tímto způsobem vych{zejí ze znalostí psychologie a člověk, který nem{ v této oblasti potřebné znalosti, jim může podlehnout bez ohledu na své vzděl{ní. Jaké podvodné sociotechnické metody nejčastěji útočníci používají: Nabízejí zdarma erotický, pornografický nebo tajný obsah (fotografie celebrity XY, dokumenty o machinacích při soutěži YX apod.). Nabízejí velký finanční zisk při minim{lním úsilí (např. tzv. nigerijské dopisy, slibující miliony po zaplacení p{r desítek tisíc poplatků ). Zabezpečení a ochrana dat 6

7 Hrají na city uživatele ( můžete zachr{nit nemocného člověka ). Vzbuzují strach ( pokud okamžitě neučiníte opatření kontrolu svého účtu může dojít k v{žným důsledkům ). Tv{ří se důvěrně ( přítel Ti věnoval píseň, klikni sem a st{hni si ji ). Vyd{vají se za někoho jiného (musím přenastavit server, zašlete heslo, píše spr{vce školní sítě) Mnoho dalších metod, které většinou kombinují výše uvedené. A hlavně: nutí jednat okamžitě, ned{vají čas na rozmyšlenou ( pokud okamžitě nenainstalujete tuto bezpečnostní z{platu, obsah disku počítače bude vymaz{n, pokud ihned nezrušíte příkaz, odejde z vašeho účtu ). Z{kladní obranou proti těmto útokům je vědět o jejich existenci a uvědomovat si fakt, že Internet je potenci{lně nebezpečné prostředí, které může přivést útočníka kdykoliv a kdekoliv. Není třeba být paranoidní (chorobně podezřívavý), ale nebezpečí re{lně existuje a st{le roste, je proto nutné o něm vědět. Ukradení (zneužití) identity. Typickým příkladem je tzv. phishing (odvozeno od fishing rybaření). Útočník rozešle podvodné y napodobující styl zn{mé banky a vyzývající příjemce z nejrůznějších důvodů ke kontrole účtu. Po klepnutí na odkaz se zobrazí str{nky vypadající přesně jako origin{lní web banky. Po zad{ní přihlašovacího jména čísla platební karty a hesla dojde zd{nlivě ke slibované akci. Ve skutečnosti jste však zadali své přihlašovací údaje do formul{ře, který je odeslal útočníkovi. Výše škody pak z{visí na stavu vašeho účtu a případném limitu pro operace přes Internet Hoax Hoax není ž{dný program, je to falešn{ zpr{va, kter{ v{s (často velmi emotivně) nab{d{ ke smaz{ní zcela nezjistitelného viru nebo k posíl{ní zpr{v pro z{chranu nemocného člověka apod. a k dalšímu rozesíl{ní této zpr{vy. Pokud hoax uposlechnete, smažete si sami systémový soubor nebo alespoň zahltíte poštovní schr{nky jiným uživatelům. (Více na - Komplexní přístup k bezpečnosti IT Bezpečnost počítače tedy spočív{ v technických a organizačních opatřeních. Technick{ opatření. Z{kladem je udržov{ní operačního systému v aktu{lním stavu okamžitou (nejlépe automatickou) instalací bezpečnostních z{plat, d{le zapnutý a spr{vně nastavený firewall, d{le funkční automaticky aktualizovaný antivirový program. Organizační opatření stojí na znalostech bezpečnostních hrozeb a na opatrnosti. Ve firm{ch a jiných institucích jsou určena přístupov{ pr{va uživatelů a stanoveny směrnice, kterými se musí řídit komu mohou či nemohou poskytovat informace a jaké, jak se Zabezpečení a ochrana dat 7

8 nakl{d{ s písemnostmi (včetně způsobu jejich skartov{ní, útočníci s oblibou vybírají popelnice s papíry a někdy v nich nalézají důležité informace). Znalosti a opatrnost. Tyto dvě věci dnes bohužel chybí většině uživatelů počítačů připojených do Internetu. Proč je tolik počítačů souč{stí sítí tzv. botů rozesílajích spam a útočících (tzv. DoS Denial of Service útoky) na jiné systémy? Proč ztr{ty způsobené ukradením identity dosahují stamiliard dolarů? M{te znalosti používejte je a buďte opatrní. 2. Obecné bezpečnostní z{sady a ochrana dat - Z{sady vytvoření bezpečného hesla Bezpečné heslo se často označuje jako tzv. silné heslo. To musí splňovat poměrně přísné parametry: Obsahuje minim{lně 8 znaků. S počtem znaků výrazně roste počet možných kombinací a tedy potřebný čas pro útok hrubou silou. Počet se může měnit, za p{r let to možn{ bude 14 znaků. Ned{v{ smysl v ž{dném běžném jazyku (není slovníkové slovo). Obsahuje co nejvíce různých znaků, tedy velk{ a mal{ písmena, číslice a nejlépe i další speci{lní znaky (?! / ( _ % / apod.). D{ se dobře zapamatovat, abychom si ho nemuseli nikam (třeba na monitor) zapisovat. Heslo může být odcizeno: Sociotechnickými prostředky, tj. podvodem zjištěno od uživatele, jedn{ se o nejčastější způsob. Využitím neopatrnosti uživatele (heslo napsané na lístečku nalepeném na monitoru, na spodní straně podložky pod myš, případně PIN napsaný na platební kartě). Pomocí keyloggeru. Malware běžící na počítači zjišťuje z{pisy znaků do políček heslo (password) a odesíl{ je útočníkovi. Stejn{ hesla. Uživatelé často používají stejn{ hesla na důležité i relativně méně důležité operace. Např. heslo pro výběr ové schr{nky jde přes Internet v případě protokolu POP3 zcela nezašifrov{no. Útočník zjistí toto lehce odcizitelné heslo a pokusí se použít stejné heslo např. k přístupu do firemní sítě uživatele, kde se heslo přen{ší šifrovaně. Tato metoda býv{ bohužel často úspěšn{. Heslo může být zjištěno (prolomeno): K informacím zabezpečeným heslem se útočníci pokoušejí dostat i pomocí klasických programových prostředků: Zabezpečení a ochrana dat 8

9 Útok hrubou silou (brute force attack). Dostatečně výkonný počítač zkouší všechny kombinace do úvahy přich{zejících znaků, přičemž začín{ omezenou skupinou možností (jen písmena, jen mal{ písmena a číslice atd.). Kombinací, které je možné vytvořit z N znaků dlouhého řetězce, kdy jednotlivé znaky vybír{te z P možností, je PN. Tedy např. ze 4 číslic (0 9, tj. 10 znaků) je možné vytvořit 104 kombinací, tj možností ( ), ( ) až ( ). To zvl{dne současný počítač během kr{tké chvilky. U hesla dlouhého 6 znaků vytvořeného z cca 200 znaků (tabulka ASCII jich obsahuje 256, ale všechny nejsou do hesla vhodné) je kombinací 200 6, tj , což již většinu útoků odrazí. Slovníkový útok. Útočník zjistí jazyk uživatele zabezpečeného systému. Použije kompletní slovník daného jazyka a začne zkoušet jednotliv{ slova, nejlépe podle jejich četnosti použív{ní. Běžné jazyky používají cca slov, často používaných je cca , takže tento útok na slovní hesla býv{ velmi často úspěšný. Problematiku ochrany dat rozdělíme na dvě oblasti: Příklad 1: Úspěšný obchodník m{ na svém počítači adresy všech svých z{kazníků i dodavatelů. Kdyby tyto informace získala konkurence, mohlo by to jeho obchody v{žně ohrozit. Příklad 2: Firma vede účetní knihy pouze v elektronické podobě na počítači. Jeho porucha a ztr{ta veškerého účetnictví by způsobila v{žné problémy, statisícové ztr{ty a případně i z{nik firmy. Pokud jste četli pozorně oba příklady, všimli jste si asi rozdílu, čím je majitel počítače ohrožen: V prvním případě zneužitím dat cizí osobou. Tomu můžete zabr{nit zabezpečením počítače a dat. Ve druhém je ohrožen ztr{tou dat (ať technickým selh{ním počítače, působením počítačových virů nebo chybou obsluhy). Z{kladní ochranou je z{lohov{ní (archivace) dat. - Zabezpečení počítače a dat před zneužitím cizí osobou Zabezpečení počítače Možností, jak znemožnit pr{ci s počítačem cizí osobě, je několik: Místnost s počítačem ochr{nit proti vniknutí cizí osoby bezpečnostními prvky, jako jsou kvalitní dveře a z{mky, fólie nebo mříže na okna. Tento způsob je snad poněkud primitivní, je však velmi účinný a bezpečný, použív{ se zejména u serverů sítí. Jeho výrazně méně bezpečnou variantou je uzamčení počítače ve stole. Kensington lock je kovový konektor běžně používaný u notebooků, ke kterému se připojuje silné ocelové lanko. To se pak uchytí ke stolu nebo k topení apod. Notebook pak není možné jednoduše vzít a odnést. V{zat spuštění počítače (přesněji start operačního systému) na heslo (lze nastavit v tzv. BIOSu počítače). Jde o poměrně účinnou ochranu, špatné heslo se však d{ uhodnout nebo Zabezpečení a ochrana dat 9

10 odkoukat při zad{v{ní. Heslo navíc nechr{ní data při kr{deži celého počítače heslo lze (po otevření skříně počítače) vymazat a k datům se dostat. Operační systémy a podnikové informační systémy většinou při svém spuštění vyžadují zad{ní jména uživatele a heslo. Při využití architektury klient server jsou data fyzicky pouze na centr{lním serveru, ochrana dat na stanicích pak nemusí být řešena, pouze je třeba dobře zabezpečit přístup (i d{lkový) k serveru. Použít speci{lní přídavné zařízení k počítači, do kterého je nutné pro spuštění systému vložit identifikační kartu nebo flash disk (obecně tzv. token zařízení nesoucí kód), podobnou kartě do bankomatu. Odpad{ nutnost pamatovat si heslo. Jde o velmi dobré zabezpečení počítače. Biometrické metody spočívají ve čtení fyzických parametrů uživatele, nejčastěji otisku jeho prstu nebo oční duhovky. Své prsty a oči m{me st{le proto často u manažerských notebooků. Zabezpečení důvěrnosti dat Pokud bude počítač odcizen, musíme mít proti zneužití zabezpečena data. Důvěrnost dat v počítači zajistíme pouze jejich zašifrov{ním. Softwarov{ ochrana počítače. Existují speci{lní programy, které se stanou téměř souč{stí operačního systému a šifrují veškeré z{pisy na disk a samozřejmě čtení z něho dešifrují. Opr{vněný uživatel se opět musí prok{zat heslem, bez kterého je obsah disku nečitelný. Heslo (kód na dešifrov{ní) může být uloženo na externím zařízení (tokenu, např. USB disku) a v takovém případě může být i velmi dlouhé (např. 128 znaků). Hardwarov{ ochrana počítače. Podobně fungují i bezpečnostní karty do počítače, které jsou snad ještě spolehlivější. Převezmou funkci řadiče disku s tím, že opět veškeré přístupy k němu šifrují a dešifrují. Bez znalosti hesla se s diskem ned{ pracovat a jeho obsah je jen změtí nul a jedniček. Šifrov{ní souborů prakticky Při šifrov{ní souborů m{me k dispozici dvě možnosti: Zašifrov{ní celého disku nebo jeho oddílu (partition). Zašifrov{ní vybrané složky. V prvním případě, pokud nepoužijeme n{stroje OS, se v systému tento oddíl bude jevit jako nenaform{tovaný a nesmíme ho systémovými n{stroji form{tovat. Vždy musíme použít šifrovací program. TrueCrypt je zdarma pod licencí GNU GPL šířený šifrovací program pro šifrov{ní složek i celých disků. Umožňuje nově zform{tovat diskový oddíl s jeho současným šifrov{ním. Použív{ kvalitní šifrovací algoritmy, heslo se vytv{ří pohyby myší a je velmi bezpečné. Zabezpečení a ochrana dat 10

11 - Ochrana dat před ztr{tou, z{lohov{ní dat Porucha počítače, chyba obsluhy, infekce počítačovými viry všechny tyto ud{losti mají společný účinek, a tím je poškození nebo úplné zničení důležitých dat, kter{ jsou uložena na pevném disku. Protože mají stejný účinek, je společný i z{kladní způsob ochrany, a tím je z{lohov{ní dat. Z{lohov{ní (archivace) dat je zkopírov{ní dat z pevného disku na nějaké jiné z{znamové médium. Nejčastěji se k tomu používají: Pevný disk počítače. Výhodnější než prost{ kopie složek (disků) s důležitými daty je jejich komprimace, např. do ZIP souboru. Použití ZIP form{tu m{ dvě výhody: z{loha je odlišen{ i form{tem a komprese dat šetří místo na pevném disku. Pozor: z{loha umístěn{ na stejném disku jako jsou původní data chr{ní před vaší chybou (smaz{ním dat), nechr{ní samozřejmě před zničením dat při fyzické z{vadě celého disku. Zapisovatelné optické disky CD (700 MB), DVD (4,5 GB) a Blu-Ray (25 GB). Při použití jednor{zově zapisovatelných médií jde o dlouhodobou z{lohu, kterou je vhodné udělat po dokončení pr{ce. USB disky (několik desítek GB). Velmi rychle proveden{ z{loha, vhodn{ pro okamžité z{lohov{ní před uzavřením pr{ce (zak{zky apod.). P{skové jednotky využívají servery sítí, kapacita p{sky je až stovky GB. Externí pevné disky se připojují přes USB rozhraní a jsou to vlastně běžné, kapacitou obvykle menší disky, doplněné o řídicí elektroniku. Jsou vhodné pro z{lohov{ní celých disků nebo diskových oddílů. Z{loze disku se řík{ obraz (image) disku. On-line úložiště mají budoucnost, zvl{ště v placených verzích, kdy poskytovatel služby nese zodpovědnost za uložen{ data. Zdarma dostupné služby nabízejí zatím poměrně malé kapacity a vlastně ž{dné z{ruky trvalosti i důvěrnosti dat. Pravidla z{lohov{ní Z{lohy je třeba prov{dět často, pravidelně, pečlivě a na kvalitní z{znamov{ média: Často: Při poruše je pr{ce od archivace do poruchy ztracena. Podle množství a důležitosti dat se určí potřebný interval jejich z{lohov{ní. Pravidelně: Co člověk neděl{ pravidelně, na to zapomín{ a m{ to pro něho malý přínos. Podle z{kona schv{lnosti se něco pokazí v okamžiku, kdy archivaci neuděl{te. Pečlivě: Vždy je třeba z{lohovat všechna nov{ data a veškerou hotovou pr{ci. Pom{hají s tím specializované programy, které kromě dokumentů umí z{lohovat i zpr{vy elektronické pošty, adres{ř, oblíbené položky, nastavení systému apod. Kvalitní z{znamov{ média: Značkoví výrobci uv{dějí studie trvanlivosti dat a poskytují vyšší z{ruku obnovení dat než neznačkov{ média. (Trvanlivost CD a disků DVD z{visí na použitém barvivu.) Zabezpečení a ochrana dat 11

12 Možné způsoby zničení dat a ochrana proti nim, UPS Technick{ porucha pevného disku. Je poměrně nepravděpodobn{, moderní disky jsou velmi spolehlivé, ale přesto k poruch{m doch{zí. Porušení dat na disku výpadkem nap{jení počítače. K porušení dat nedoch{zí při každém výpadku, ale pouze tehdy, když v okamžiku výpadku počítač zapisuje na disk. Pak může dojít k porušení struktury datových souborů a k nutnosti jejich obnovy z archivu. Výpadku nap{jení i přepětí v síti lze předejít použitím UPS zdroje nepřetržitého nap{jení. Je to přístroj, který se zapojí mezi z{suvku 230 V a nap{jecí kabel počítače. V případě vypnutí sítě 230 V začne bez přerušení nap{jet počítač ze zabudované baterie, jejíž napětí je převedeno na potřebných 230 V střídavých, a zvukovým sign{lem upozorňuje na tuto skutečnost. Běžné UPS umí nap{jet počítač jen cca 5 15 minut, tato doba však bohatě stačí na norm{lní ukončení všech programů a vypnutí počítače. Většina UPS kromě této z{kladní funkce také odstraňuje kolís{ní síťového napětí a filtruje případn{ kr{tkodob{ přepětí včetně přepětí na telefonní lince, čímž chr{ní počítač. Zabezpečení a ochrana dat 12